2020年数据库运维安全现状调查报告.doc

1、xx 数据库运维安全现状调查报告近日，安华金和面向各行业 IT 运维人群开展了一次数据库运维安全现状调研。希望借此方式了解用户的数据库运维场景及安全现状，发现各行业用户在数据库运维工作中的安全需求， 并研发出真正具有用户价值的安全产品。 安华金和从多方通道获取的近 500 份问卷中抽取 150 份有效样本进行统计分析，总结归纳出此份 xx 数据库运维安全现状调研报告，摘取报告重点分析结论，分享给关注数据库安全的人士。一 . 参与人员概况抽取调研样本不同行业，包括：政府，金融，能源，教育，制造业，互联网，交通，医疗行业等。调查对象主要为技术人员，直接从事 IT 运维或技术开发工作，或者为用户提供

2、运维侧解决方案及相关产品咨询。参与调研人群共涉及 10 余类岗位，其中以工程师、技术经理占大多数，占比 49%，其余职位亦多为技术层决策人员及研究人员，对于企业数据库系统的技术原理及运维操作比较了解， 这对此份调研报告的客观、专业度提供保障。二. 调查结果2.1当前数据库运维环境随着各行业信息化水平的提升，应用类型多样而复杂。调查结果显示，各行业用户的数据存储规模及数据处理要求进一步提升。面对复杂的网络环境， 大多数单位采取了一定的技术手段保护核心数据库系统。半数以上数据库服务器规模超50 台根据有效样本统计， 51%以上的企业部署数据库服务器超过50台，三成企业达到百台规模。 1.1 数据库

3、服务器规模数据库服务器部署位置分布参与调查人群中， 44%的参与者反馈数据库服务器部署在内网环境中，另有 49%反馈内网及外网环境中均有部署。选择单纯部署于外网或不区分内外网的比例仅有6%左右，具有对核心数据库的安全防护意识调查结果显示， 78%的用户会使用网络隔离等技术手段保护核心生产库2.2数据库安全政策要求及安全检查现状在安全政策合规方面，大多数单位都需要满足等保、分保等安全检查标准。 51%的参与者需要通过等保检查标准，35%需要通过分保检查标准， 28%需要通过其他行业性安全标准。调查显示，64%的企业对于数据库会定期进行安全检查，其余为不定期检查。但有50%的参与者表示安全检查中没

4、有使用专业的检查工具，这在一定程度上对于检查结果的全面性和专业度有所影响。1.2 安全政策合规需求2.3数据库安全防护手段大多数用户具有对核心数据的保护意识，在系统架构上更多采用网络隔离的手段保护核心数据库。 对内部人员需要授权访问， 敏感数据对外会采用脱敏或加密处理。调查结果显示， 对于核心生产库的安全防护， 70%的参与者反馈会采用网络隔离等技术手段进行核心数据库的保护，但仍有近 30%的企业尚未采取相关技术手段加以防护。在提供外网服务的应用系统所用数据库中，存有敏感数据的比例占到 74%。这种情况下，共计 79%的调查参与者反馈，无论数据库中是否存有敏感数据，运维人员访问数据库系统必须得

5、到授权。当敏感数据用于第三方公司进行开发、测试、培训等环节前，62%的参与者反馈会对敏感数据进行脱敏或加密处理，但是仍有 38% 的企业在此方面没有防护手段， 这是导致数据库安全隐患的重要原因之一。 1.3 敏感信息的访问目前所采取的数据库安全管控技术手段中，数据库防火墙是选择最多的数据库安全管控技术手段， 但仍有超半数单位没有使用专业的数据库安全管控产品， 近一半单位不能满足数据库管理制度的要求。在数据库安全管控手段的选择上，半数单位已采取专业的数据库管控手段。调查显示， 49%的参与者已部署数据库防火墙或数据库访问管控平台，但仍有 23%只部署了堡垒机， 29%没有采取任何技术手段进行管控

6、。同时， 42%的参与者反馈目前的技术管理手段不能满足数据库管理制度的要求。 这与企业没有选择专业的数据库管控手段有必然关系，对于技术手段的认知有待提高。 1.4 数据库安全管控技术手段大部分企业会进行数据库访问审计，近三成单位只对少部分核心数据库系统进行审计。关于数据库访问审计的具体范围，针对所有数据库、针对大多数数据库和不进行数据库审计这三个选项的比例相当，其中针对少部分数据库进行审计的比例会稍高一些，占到31%。可见目前大多数用户对于数据库审计接受度较高，在此趋势下， 小部分未采取审计手段的用户可能被引导。 1.5 数据库访问审计的范围三. 安全防护建议综合调查结果，我们针对数据库运维安

7、全现状，提供具有实际可落地的安全防护建议：3.1在开发、测试、培训等工作环节中，使用敏感数据前进行脱敏处理是必要的， 选择专业工具能够提高工作效率，保证数据处理效果及质量。大多数用户在数据外发之前，会采取脱敏或加密手段对敏感数据进行处理，这将在很大程度上降低数据泄露风险。但目前专业数据库脱敏和加密工具并没有被广泛使用，用户多选择自行编写程序。 当数据量的规模较大， 各数据表、数据子集之间的关联关系较为复杂的情况下，手工脱敏或加密工作量大，且处理质量无法保证。这将导致外发数据无法满足开发、测试、分析等业务需求，影响结果准确性，同时，耗费的人力及时间成本往往得不偿失。专业的数据库脱敏工具可以保持原

8、有数据类型和业务格式，保证长度不变、数据内涵不丢失，保持表间、表内数据关联关系，确保以上业务场景中的脱敏数据真实有效。同时提供动态脱敏功能， 对敏感数据进行透明、实时脱敏，对数据库用户名、客户端类型、访问时间甚至业务用户等多重身份进行访问控制，提供多种安全策略。3.2使用专业有效的数据库管控手段可以提供细粒度的数据库运维管控，满足数据库管理制度要求，防止危险访问行为。与堡垒机相比，使用专业的数据库管控产品，通过对数据库访问协议的精确解析，而不是单纯对访问操作进行录屏，事后追责。数据库防火墙优势：基于对 SQL语句的精准解析，提供高危访问控制、SQL注入禁止、返回行数超标禁止、 SQL黑名单等技

9、术功能，对于匹配策略的威胁操作实时拦截、阻断，而堡垒机由于不具备 SQL 语句的精准解析能力，无法提供如此细粒度的访问控制。数据库安全管控平台优势：目前大多数企业使用堡垒机对运维人员的数据库操作行为进行审批， 但对于实际操作的事中控制， 无法监控。运维人员的实际操作是否与申请一致 ?实际操作人是谁 ?如果出现误操作，如何追溯 ?这一系列问题堡垒机无法解决。专业的数据库安全管控平台在审批通过后返回唯一的操作码， 使用任意客户端建立连接时，无操作码或与原申请操作不符时，拒绝访问。提高操作准确度，防止高危操作及误操作， 弥补传统解决方案对于事中控制的缺失。3.3 运维部门对整体数据库访问行为有必要进行实时有效的监控与审计，审计产品的风险感知能力、 审计效率及审计结果的准确度是重要依据。传统的网络审计产品无法解析数据库通信协议，只能通过审计访问的 IP 地址、端口号等基本用户信息判断访问是否合法，而数据库审计产品对 SQL语句的精确解析能够识别每条操作的实际含义， 结合应用行为与用户行为建模分析， 智能判断数据库是否遭到威胁， 实时发出告警。调查显示大多数用户已经局部部